LỜI CẢM ƠN
Trước tiên em xin gửi lời cảm ơn chân thành và sâu sắc nhất tới các thầy cô
giáo trong trường Đại học Duy Tân nói chung và các thầy cô giáo trong khoa Công
nghệ thông tin, bộ môn Kỹ thuật mạng nói riêng đã tận tình giảng dạy, truyền đạt
cho em những kiến thức, kinh nghiệm quý báu trong suốt thời gian qua.
Đặc biệt, em xin gửi lời cảm ơn đến thầy giáo Nguyễn Gia Như, thầy đã tận
tình giúp đỡ, trực tiếp chỉ bảo, hướng dẫn em trong suốt quá trình làm khóa luận tốt
nghiệp này. Trong thời gian làm việc với thầy, em không ngừng tiếp thu thêm nhiều
kiến thức bổ ích mà còn học tập được tinh thần làm việc, thái độ nghiên cứu nghiêm
túc, hiệu quả, đây là những điều rất cần thiết cho em trong quá trình học tập và công
tác sau này.
Sau cùng xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đã động viên,
đóng góp ý kiến và giúp đỡ trong quá trình học tập, nghiên cứu và hoàn thành đồ án
tốt nghiệp này.
Mặc dù đã rất cố gắng, nhưng trong một khoảng thời gian cho phép, cũng
như hạn chế về mặt kiến thức của bản thân, cuốn đồ án này không thể tránh khỏi
nhiều thiếu sót. Chính vì vậy, em rất mong nhận được sự góp ý của các thầy giáo,
cô giáo cũng như của bạn bè và những người có quan tâm đến lĩnh vực mà cuốn đồ
án này đã được trình bày.
Đà Nẵng, tháng 5 năm 2014
NGUYỄN HỮU NGUYÊN TÂM
1
MỤC LỤC
2
DANH MỤC HÌNH VẺ
3
Hình 2.1: Cơ chế thiết lập kết nối trước khi truyền số
liệu 26
Hình 2.2: Tấn công DoS truyền thống 26
Hình 2.3. Kiểu tấn công DoS vào băng thông 28
Hình 3.11. Giao diện của base sau khi ping không thành công 76
Hình 3.12. Tool tấn công DDoS(1) 77
Hình 3.13. Tool tấn công DDoS(2) 77
Hình 3.14. Giao diện của base sau khi ping không thành công 78
Hình 3.15. Giao diện khi truy cập web
test.html 78
Hình 3.16. Giao diện Base sau khi có người truy cập
web 79
Hình 3.17. Thông báo khi phát hiện có người truy cập
web 79
Hình 3.18. Giao diện base thông báo truy cập web đã bị
chặn 80
Hình 3.19. Giao diện khi truy cập web test.html không thành công 80
5
THUẬT NGỮ, TỪ VIẾT TẮT
Scanning, là tiến trình “quét”, trước đây được attacker thực hiện bằng
tay, sử dụng những công cụ “thô”. Qua thời gian, những công cụ scanning
được cải thiện và những chức năng của nó đã tích hợp và tự động. Như
chúng ta từng nghe nói đến về worm, một trong những hình thức tự động
scanning.
Blended threat đầu tiên cũng là những chương trình đơn thuần hoặc
một nhóm các chương trình cung cấp nhiều dịch vụ, nó là những tập lệnh và điều
khiển sử dụng một IRC bot và scanning lỗ hổng.
Flooding thường được dùng trong cuộc tấn công từ chối dịch vụ (DoS). Nó
6
tạo ra một số lượng rất lớn các gói tin vào hệ thống mục tiêu, khiến hệ thống bị sụp
đỗ.
ODBC cung cấp một chuẩn bằng phương thức client kết nối vào một CSDL.
Để biết nhiều thông tin về ODBC, vào http://odb c .o r g .
Cleartext là dạng thông điệp chứa những ký tự mà khi nhìn vào nó, ta có
- TFN - Tribe Flood Network. Một công cụ tấn công DDoS.
- TFN2K - Tribe Flood Network 2000.
- FTP- File Transfer Protocol. Giao thức truyền tập tin.
- SNMP - Simple Network Managerment Protocol.
- TCP – Transfer Control Protocol: giao thức điều khiển truyền vận.
- UDP – User Datagram Protocol: giao thức dữ liệu người dùng.
- ICMP – Internet Control Message Protocol: giao thức thông điệp điều
khiển internet.
- IP – Internet Protocol: giao thức internet.
- TTL – Time To Live.
- ToS – Time of Service.
- ACID - Analysis Console for Intrusion Databases.
- BASE – Basic Analysis and Security Engine.
- HTTP – HyperText Trasfer Protocol.
- HTML – HyperText Mark Language.
8
Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort
MỞ ĐẦU
1. LÝ DO CHỌN ĐỀ TÀI
Việc tin tặc tấn công các trang web đã xẩy ra từ nhiều năm nay. Trong đó có các thủ
thuật như: lợi dụng các lỗ thủng của software quản lý server hay database,… để phá
từ bên trong máy chủ, gửi spam làm tràn ngập hộp thư điện tử (e-mail), dùng DoS
hay DDoS,… để tấn công từ bên ngoài, ăn cắp mật khẩu (bằng cách cài một phần
mềm gián điệp vào máy PC cá nhân), tên miền, chiếm đoạt hộp thư,…
Website có lượt truy cập cao là mong muốn của hầu hết những khách hàng thiết kế
website. Tuy nhiên, có đôi lúc con số thống kê số lượng truy cập không chính xác
bởi sự tấn công của những kẻ phá hoại. Sự tấn công này làm giảm khả năng đáp ứng
yêu cầu từ người dùng và làm ngập lụt hệ thống, khiến website không thể trả lại
thông tin theo truy vấn của khách hàng và rõ ràng đây là việc mà không nhà quản trị
website nào mong muốn.
- CHƯƠNG 1: TỔNG QUAN AN TOÀN MẠNG
- CHƯƠNG 2: KỸ THUẬT TẤN CÔNG DOS /DDOS VÀ HỆ THỐNG IDS
- CHƯƠNG 3: MÔ PHỎNG TẤN CÔNG VÀ PHÒNG THỦ
- KẾT LUẬN
CHƯƠNG 1: TỔNG QUAN AN TOÀN MẠNG
Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệu
đang trở nên rất được quan tâm. Khi cơ sở hạ tầng và các công nghê mạng đã đáp
SVTH: Nguyễn Hữu Nguyên Tâm 10
Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort
ứng các yêu cầu về băng thông, chất lượng dịch vụ, đồng thời thực trạng tấn công
trên mạng đang ngày một gia tăng thì vấn đề bảo mật càng được chú trọng hơn.
Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanh
nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin.
1.1. NGUY CƠ ẢNH HƯỞNG ĐẾN AN TOÀN MẠNG
1.1.1. Lổ hổng
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự
ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy
nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ
cung cấp như sendmail, web, ftp Ngoài ra các lỗ hổng còn tồn tại ngay chính tại
hệ điều hành như trong Windows NT, Windows 95, UNIX; hoặc trong các ứng dụng
mà người sử dụng thương xuyên sử dụng như Word processing, các hệ thống
databases
Phân loại lỗ hổng bảo mật :
Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt.
Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ
thống được chia như sau:
- Lỗ hổng loại C: các lỗ hổng loại này cho phép thực hiện các phương thức
tấn công theo DoS (Dinal of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp,
chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống,
không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp .
mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi
nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho
đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy
khác đến trạm không được phục vụ.
Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên
giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy
loại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric
attack). Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một
SVTH: Nguyễn Hữu Nguyên Tâm 12
Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort
modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay
những mạng có cấu hình phức tạp.
• Tấn công vào các yếu tố con người
Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn
thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay
đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác.
Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên mạng chính là người sử
dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máy
tính, bảo mật dữ liệu không cao. Chính họ đã tạo điều kiện cho những kẻ phá hoại
xâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như qua email
hoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn.
Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể ngăn
chặn một cách hữu hiệu chỉ có phương pháp duy nhất là hướng dẫn người sử dụng
mạng về những yêu cầu bảo mật để nâng cao cảnh giác. Nói chung yếu tố con người
là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự hướng dẫn của
người quản trị mạng cùng với tinh thần hợp tác từ phía người sử dụng mới có thể
nâng cao độ an toàn của hệ thống bảo vệ.
1.1.3. Các hình thức tấn công trên mạng
Có thể phân thành các dạng như sau:
1.1.3.1. Reconnaissance attacks
0 (No FIN)
Window: 64161
Checksum: 0x078F
Urgent Pointer: 0
No TCP Options
POP - Post Office Protocol
Line 1: PASS secretpass
Ta nhận thấy password được truyền đi ở dạng clear text là secrectpass.
Bởi vì packet được truyền đi không được mã hoá như trên, nó có thể bị xử lý
bởi bất kỳ ai sử dụng kỹ thuật packet sniffers.
Những công cụ sau được dùng ngăn cản packet sniffers gồm: authentication,
SVTH: Nguyễn Hữu Nguyên Tâm 14
Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort
switched infrastrutured, antisniffer và cryptography.
Authentication:
Kỹ thuật xác thực này được thực hiện phổ biến như one-type password
(OTPs). Kỹ thuật này được thực hiện bao gồm hai yếu tố: personal identification
number ( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng
dụng.
Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách
ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây.
Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy
nhất. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers, thông
tin đó cũng không có giá trị vì nó đã hết hạn.
Switched infrastructured:
Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường
mạng. Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâm
nhập vào luồng traffic đang lưu thông tại một host mà hacker kết nối đến. Kỹ thuật
này không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầm
ảnh hưởng của nó.
nhằm ngăn cản hacker.
Internet information queries:
DNS queries có thể chỉ ra nhiều thông tin như là người sở hữu một domain
nào đó và range địa chỉ nào được ấn định cho domain đó.
Hacker sử dụng công cụ này để “ trinh sát” tìm ra các thông tin trên mạng.
Cùng với port scans và ping sweeps, sau khi tìm ra được những thông tin đầy
đủ như các port active, các giao thức chạy trên port đó, hacker tiến hành kiểm tra
những đặc trưng của các ứng dụng này để tìm ra điểm yếu và bắt đầu tấn công.
1.1.3.2. Access attacks
Trong phương pháp này, kẻ xâm nhập điển hình tấn công vào mạng nhằm:
đánh cắp dữ liệu, giành lấy quyền access, và giành lấy những đặc quyền access sau
này.
Access attacks có thể bao gồm:
Password attack
Trust exploitation
SVTH: Nguyễn Hữu Nguyên Tâm 16
Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort
Port redirection
Man in the middle attack
a) Password attack:
Hacker có thế xâm nhập hệ thống dùng các kỹ thuật brute-force attacks,
trojan horce, IP spoofing và packet sniffer.
Thường một cuộc tấn công brute-force attack được thực hiện dùng 1 chu
trình chạy xuyên qua mạng và cố gắng xen vào chia sẻ môi trường. Khi hacker
giành được quyền access đến một nguồn tài nguyên, hacker cùng với user cùng chia
sẻ quyền lợi. Nếu như có đủ tài nguyên thì hacker sẽ tạo ra một cửa sổ kín cho lần
access sau.
Hacker có thể làm thay đổi bảng định tuyến trong mạng. Điều đó sẽ làm chắc
chắn rằng tất cả các gói tin sẽ được gởi đến hacker trước khi được gởi đến đích
cuối cùng.
qua firewall. Như vậy, host bên ngoài giành được quyền kết nối với host bên trong
thông qua qui trình port redirection tại host trung tâm ( public services host ).
d) Man in the middle attack:
Kỹ thuật man in the middle được thực hịên bao gồm:
Netword packet sniffers .
Giao thức routing và transport.
Tấn công man in the middle nhằm mục đích:
Đánh cắp dữ liệu.
Giành lấy một phiên giao dịch.
Phân tích traffic trong mạng.
DoS.
Phá hỏng dữ liệu được truyền.
Một ví dụ của man in the middle attack đó là: một người làm việc cho ISP và
cố gắng access đến tất cả các gói dữ liệu vận chuyển giữa ISP và bất kỳ một mạng
nào khác.
Ta có thể ngăn chặn hình thức tấn công này bằng kỹ thuật mã hoá: mã hoá
traffic trong một đường hầm IPSec, hacker sẽ chỉ nhìn thấy những thông tin không
có giá trị.
1.2. CÁC DỊCH VỤ CƠ CHẾ BẢO MẬT VÀ TẤN CÔNG
1.2.1. Dịch vụ bảo mật ( Security service)
SVTH: Nguyễn Hữu Nguyên Tâm 18
Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort
Là thông qua việc đánh giá các thành phần hê thống phần trong hệ thống của
khách hàng về khía cạnh bảo mật, bao gồm:
1. Hệ thống mạng/ cơ sở dữ liệu liên quan ứng dụng.
2. Các máy chủ ứng dụng.
3. Các ứng dụng, đặc biệt là các ứng dụng trên nền web/ ứng dụng cho phép giao
dịch trực tuyến như e-banking, các trang web thương mại điện tử.
1.2.2. Cơ chế bảo mật (Security Mechanish)
Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là
Vài ngày sau, một sự kiện tương tự diễn ra nhưng có phần “ồn ào” hơn do
một trong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com, Zdnet.com, E-
trade.com, Ebay.com. Tất cả các nạn nhân là những gã khổng lồ trên internet thuộc
nhiều lĩnh vực khác nhau. Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên
đến 1.2 triệu USD, nhưng không đáng kể bằng sự mất mát về lòng tin của khách
hàng, uy tín của các công ty là không thể tính được.
Làm đảo lộn mọi dự tính, thủ phạm là một cậu bé 15 tuổi người Canada, với
nickname “mafiaboy”. Lại là một thiên tài bẩm sinh như Kevin Mitnick xuất hiện?
Không. Mafiaboy chỉ tìm tòi và download về một số chương trình công cụ của các
hacker. Cậu đã dùng một công cụ DDos có tên là TrinOO để gây nên các cuộc tấn
công kiểu DDoS khủng khiếp trên. Một điểm đáng lưu ý khác là Mafiaboy bị bắt do
tự khoe khoang trên các chatroom công cộng, không ai tự truy tìm được dấu vết của
cậu bé này.
Mới đay nhất, ngày 19/3/2013 tổ chức Spamhaus hứng chịu cuộc tấn công
Ddos lớn nhất trong lịch sử Internet, tổ chức Spamhaus vốn chịu trách nhiệm duy trì
danh sách blacklist các máy chủ đang gửi thư spam trên toàn phải hứng chịu một
cuộc tấn công DDoS với lưu lượng lớn nhất lịch sử Internet, lưu lượng hiện đã đạt
đỉnh 300 Gbps ( tương đương 37 GB/s ). Cũng nên nhắc bạn rằng tổng lưu lượng
internet của Việt Nam chỉ khoảng 361 Gbps, tức là nếu cuộc tấn công này nhắm vào
hạ tầng internet Việt Nam thì chúng ta sẽ nhanh chóng bị bão hoà đường truyền và
Việt Nam sẽ sớm bị cách ly hoàn toàn với internet thế giới. Các cuộc tấn công
DDoS thông thường trên thế giới gần đây chỉ đạt khoảng 50 Gbps là đã đủ làm tê
liệt cơ sở hạ tầng của một tổ chức bị nhắm tới. Rất may Spamhaus hiện đang được
chống lưng bởi rất nhiều tập đoàn công nghệ lớn của thế giới như Google,
Microsoft, Yahoo, Amazon,… do đó các hãng này chia sẻ tài nguyên khổng lồ của
họ nhằm giúp hấp thụ lưu lượng khổng lồ trên. Nguyên nhân dẫn đến cuộc tấn công
là từ một cuộc tranh cãi giữa tổ chức Spamhaus và một công ty dịch vụ hosting của
Đức tên Cyberbunker khi tổ chức Spamhaus liệt kê các máy chủ của công ty này
vào danh sách Blacklist, danh sách này sẽ giúp các nhà cung cấp dịch vụ mail toàn
SVTH: Nguyễn Hữu Nguyên Tâm 21
SVTH: Nguyễn Hữu Nguyên Tâm 22
Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort
Phần băng thông dành cho mỗi hệ thống là giới hạn, vì thế nếu hacker cùng
lúc gửi nhiều yêu cầu đến hệ thống thì phần băng thông không đủ đáp ứng cho một
khối lượng dữ liệu lớn đó và dẫn đến hệ thống bị phá vỡ.
• Tấn công vào RAM
Tấn công Dos chiếm 1 khoảng lớn của RAM cũng có thể gây ra các vấn đề
phá hủy hệ thống. Kiểu tấn công BufferOverflow là một ví dụ cho cách phá hủy.
• Tấn công vào DISKS
Một kiểu tấn công cổ điển là làm đầy đĩa cứng. Đĩa cứng có thể bị tràn và
không thể được sử dụng nữa.
2.2. CÁC KỸ THUẬT TẤN CÔNG
2.2.1. Khái niệm TCP bắt tay ba chiều
Đầu tiên, để tìm hiểu phương pháp tấn công DoS , luận văn sẽ trình bày cơ
chế làm việc “tcp bắt tay ba chiều”.
Gói dữ liệu TCP chứa flag bits (cờ) để mô tả nội dung và mục đích của gói dữ liệu .
Ví dụ 1-1:
• Gói dữ liệu TCP với cờ SYN (synchoronize) dùng để bắt đầu 1 kết nối
• ACK (acknowledgement)
• FIN (finish) dùng để cắt 1 kết nối
Cách hoạt động của gói TCP:
Hình 2.1. Cơ chế thiết lập kết nối trước khi truyền số liệu
SVTH: Nguyễn Hữu Nguyên Tâm 23
Nghiên cứu và xây dựng mô hình phòng chống tấn công từ chối dịch vụ ứng dụng Snort
Buớc 1: Máy con gửi gói tin SYN yêu cầu kết nối
Bước 2: Nếu máy chủ chấp nhận kết nối, máy chủ sẽ gửi gói tin SYN/ACK Server
bắt buộc phải gửi thông báo lại bởi vì TCP là chuẩn tin cậy nên nếu máy con không
nhận được thông báo thì sẽ nghĩ rằng packet đã bị lạc và gửi lại một packet mới.
Bước 3: Máy con gửi hồi đáp bằng gói tin ACK Báo cho máy chủ biết rằng máy con
đã nhận được SYN/ACK packet và lúc này kết nối đã được thiết lập.
năng đáp ứng, máy chủ không còn khả năng nhận một gói tin nào nữa.
Hình 2.3. Kiểu tấn công DoS vào băng thông
SVTH: Nguyễn Hữu Nguyên Tâm 25
Copyright: Tài liệu đại học ©